【ニュースの深層】□□86 〈EUの個人情報保護〉/新規則で最大25億円の罰金も

  • 定期購読する
  • 業界データ購入
  • デジタル版で読む

 欧州連合(EU)は5月25日、欧州議会が策定した新しい個人情報保護の枠組みである「EU一般データ保護規則(GDPR)」を施行する。EU域内の個人情報を持つ企業はEU域外を含め、原則すべてが対象となる。対象企業は、「プライバシーポリシーの作成」や「社内の個人情報の洗い出し」「社内規定の確認」といった、新たな対応を迫られることになる。実際に当局が対応の不備を指摘するのは、情報流出が起きた時だと想定される。流出が起こった時に、非対応だった企業は直ちに違法と判断され、最大2000万ユーロ(約25億円)の罰金が科される可能性がある。


■対応の機運高まらず

 GDPRは、サイバー攻撃などによる個人情報流出のリスクの高まりを背景に策定された。個人が自分のデータを保護・コントロールできるようにすることが目的。企業が対応すべき内容や、情報流出事案発生時の当局の対応などを、条文として規定している。非対応企業には、最大で2000万ユーロもしくは、対象企業の前年度の全世界売上高の4%が、制裁金として課されることになる。違反企業や事案によっては、罰金が2000万ユーロを超えることもあり得る。
 GDPRへの対応が必要となる企業の範囲は(1)EEA(EUに加盟する28カ国とアイスランド、リヒテンシュタイン、ノルウェー)の域内に拠点を持つ企業(2)EEAの域外の拠点からEEA域内の本人に対して商品・サービスを提供する企業─の2種類だ。
 (1)について、GDPRに詳しい西村あさひ法律事務所の石川智也弁護士に話を聞いたところ、「現地に拠点を置く日本の大手企業でも、対応の機運がまだ高まっていない」と話す。GDPRに対応するには、顧客や従業員など、EEAの域内に居住し、自社で管理しているすべての個人データについて、対応を明確にしなければならない。ただ、年間で決められた予算の中から、GDPRの対応費用を計上するのが難しいという理由で、対応が遅れている日本企業も少なくないという。
 GDPRでは主に「プライバシーポリシーを作成し、本人がアクセスできる状況に置く」「本人の同意を得て個人データを取得している場合には、GDPRのガイドラインが示す項目に基づいて同意を得ているかを確認する」といった対応を求めている。
 対応をしていなかったからといって、すぐに当局から指摘を受けるわけではない。ただ、サイバー攻撃などによる情報流出があった際に、対応していないことが判明した場合、罰則が科されることになる。
 石川弁護士は、「域内に拠点を持つ企業にとって、自社が扱っている、あらゆる個人データを洗い出すことが必要になる。大手ほど対応コストが大きくなるだろう」と話す。対応すべき個人データの範囲は、従業員、顧客、取引先の名刺にも及ぶという。


■越境ECも一部対象に

 (2)について、日本からEUの顧客に向けて商品を発送する越境EC企業も対象になる。対応の条件として、EU向けに言語対応していたり、EUの顧客数が多かったり、「企業にEUに向けて商品を提供する意思が明白である」と判断される場合、対応が必要になるという。
 ただ、そうした日本のEC企業が、対応の不備に関する指摘を、当局からすぐに受ける可能性は低そうだ。石川弁護士は、「当局はより重大な問題から規制に取り組むことになるだろう。例えば日本で情報漏えいがあった際に、その中にEUの顧客情報が含まれていたとしても、現地当局がどれだけ優先して対応するかは分からない」と話す。
 日本通信販売協会の西郷裕二次長はGDPRについて、「現状会員企業からは、質問や相談の声はない。7月に、個人情報保護委員会の担当者を招いて勉強会を開く予定だが、その際にGDPRについても合わせて話をしてもらうことを予定している」と話している。

記事は取材・執筆時の情報で、現在は異なる場合があります。

ニュースの深層 連載記事
List

Page Topへ